Datenschutzerklärung

Stand: April 2026 · gemäß DSGVO (EU) 2016/679

Diese Datenschutzerklärung gilt für die Dienste unter https://whatsappbothelfer.de und beschreibt, wie wir Google-Nutzerdaten sowie andere personenbezogene Daten erheben, verwenden, speichern und ggf. weitergeben.

1. Verantwortlicher

Andrii Pylypchuk
Bergmannweg 16, 65934 Frankfurt am Main, Deutschland
E-Mail: info@andrii-it.de
Telefon: +49 160 95030120
USt-ID: DE456902445

2. Erhobene und verarbeitete Daten

Wir verarbeiten folgende personenbezogene Daten:

Registrierungsdaten: Name, E-Mail-Adresse, Firmenname (bei Registrierung)
Zahlungsdaten: werden ausschließlich von Stripe verarbeitet; wir speichern nur die Stripe-Kunden-ID und den Abonnementstatus
WhatsApp-Nachrichten: Textnachrichten und Sprachnachrichten von Endkunden werden zur KI-Verarbeitung übermittelt und in unserer Datenbank gespeichert, um dem Bot Gesprächskontext bereitzustellen
Sprachaufnahmen: Sprachnachrichten werden automatisch transkribiert (OpenAI Whisper) und als Text gespeichert; Audiodateien werden nicht dauerhaft gespeichert
Hochgeladene Dokumente: vom Nutzer hochgeladene Dateien (PDF, DOCX, TXT) für die Wissensdatenbank (RAG)
Nutzungsdaten: Log-Daten, IP-Adressen (in Server-Logs, nicht dauerhaft in der Anwendungsdatenbank gespeichert)
Google-Nutzerdaten (optional, nur wenn Google-Integration aktiviert): Kalender- und Tabellenkalkulationsdaten via Google OAuth 2.0 in read-only scopes — nur auf ausdrücklichen Wunsch des Nutzers; Zugriff kann jederzeit widerrufen werden

3. Zweck und Rechtsgrundlage der Verarbeitung

Die Daten werden verarbeitet zur:

Bereitstellung und Betrieb des KI-Chatbot-Dienstes (Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung)
Abwicklung von Zahlungen und Abonnements (Art. 6 Abs. 1 lit. b DSGVO)
Einhaltung gesetzlicher Pflichten, z. B. Aufbewahrungspflichten (Art. 6 Abs. 1 lit. c DSGVO)
Verbesserung des Dienstes auf Basis berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO)
Verarbeitung von Google-Nutzerdaten: ausschließlich auf Grundlage der ausdrücklichen Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

4. Auftragsverarbeiter und Drittanbieter

Anthropic, Inc. (Claude AI)
Textnachrichten werden zur KI-Antwortgenerierung an die Anthropic-API (USA) übertragen. Anthropic verarbeitet die Daten gemäß seiner Datenschutzrichtlinie und bietet entsprechende Datenschutzgarantien für EU-Übertragungen.
Datenschutz: anthropic.com/privacy

OpenAI, LLC (Whisper — Spracherkennung)
Sprachnachrichten werden zur Transkription an die OpenAI-API (USA) übermittelt. OpenAI verarbeitet Audiodaten gemäß seiner Datenschutzrichtlinie.
Datenschutz: openai.com/privacy

Stripe, Inc. (Zahlungsabwicklung)
Zahlungsdaten werden ausschließlich von Stripe verarbeitet. Wir haben keinen Zugriff auf vollständige Kreditkartendaten.
Datenschutz: stripe.com/de/privacy

Render Inc. (Cloud-Hosting)
Die Webanwendung und Datenbank sind auf Servern von Render.com in der EU (Frankfurt, Deutschland) gehostet.
Datenschutz: render.com/privacy

Hostinger International Ltd. (VPS-Hosting)
Der WhatsApp-Gateway-Dienst (Evolution API) läuft auf einem VPS von Hostinger in Deutschland (Frankfurt).
Datenschutz: hostinger.de/datenschutzerklaerung

Google LLC (Google API-Integration — optional)
Wenn der Nutzer die Google-Integration aktiviert, erfolgt der Datenzugriff über OAuth 2.0 ausschließlich mit expliziter Einwilligung des Nutzers.
Google Datenschutz: policies.google.com/privacy

Google User Data — Disclosure (Google API Services User Data Policy)

1. What Google user data is accessed
When a user explicitly connects the Google integration in the dashboard, the app requests access to the following Google user data via OAuth 2.0:

calendar.events.readonly — read-only access to calendar events in the user's Google Calendar
spreadsheets.readonly — read-only access to data in Google Sheets spreadsheets configured by the user
email / openid — the user's Google email address, used only to identify the connected account in the dashboard

2. How Google user data is used
Google user data is used solely to provide the features the user has explicitly requested: reading upcoming appointments from Google Calendar and reading data in Google Sheets (e.g. price lists or reference information). The app does not create, edit, or delete Google Calendar events or Google Sheets data. The data is not used for any other purpose, including advertising, analytics, or profiling.

3. Storage of Google user data
OAuth access tokens and refresh tokens are stored in an encrypted, access-controlled database hosted in Germany (Frankfurt). Tokens are linked exclusively to the user's account and are accessible only to the application's core services. Calendar event content and spreadsheet data are processed in real time and are not stored permanently by this application — only the token required to maintain the integration is retained.

4. Sharing and transfer of Google user data
Google user data is not sold, rented, or shared with any third party. It is not transferred to third parties for advertising, marketing, or any purpose unrelated to providing this application's functionality. The only data flow is between this application and the Google API on behalf of the authenticated user.

5. Data protection mechanisms
All communication with Google APIs uses HTTPS/TLS 1.2+. OAuth tokens are stored in an encrypted database with restricted access. Tokens are automatically refreshed and never exposed to end-users or third parties. The application uses the principle of least privilege — only the minimum required scopes are requested.

6. Retention and deletion of Google user data
Google OAuth tokens are deleted immediately when the user disconnects the Google integration via the dashboard ("Google trennen") or deletes their account. Tokens are also revoked at Google's authorization server at the time of disconnection. No Google user data is retained after account or integration deletion.

7. User control and revocation
Users can revoke Google access at any time:
— Via the app dashboard → Bot configuration → Google-Integration → "Trennen"
— Directly at myaccount.google.com/permissions

8. Compliance with Google API Services User Data Policy
The use and transfer of information received from Google APIs adheres to the Google API Services User Data Policy, including the Limited Use requirements. This application does not use Google data to develop, improve, or train generalized AI/ML models.

5. Datenübertragung in Drittländer

Einige der oben genannten Dienste (Anthropic, OpenAI, Stripe) verarbeiten Daten in den USA. Diese Übertragungen erfolgen auf Grundlage der EU-Standardvertragsklauseln (SCC) gemäß Art. 46 DSGVO oder eines angemessenen Schutzniveaus.

6. Speicherdauer

Personenbezogene Daten werden gelöscht, sobald sie für den Verarbeitungszweck nicht mehr erforderlich sind:

Kontodaten und Chatverläufe: bis zur Kontolöschung durch den Nutzer
Hochgeladene Dokumente: bis zur manuellen Löschung durch den Nutzer
Rechnungsdaten: 10 Jahre gemäß gesetzlicher Aufbewahrungspflicht (§ 147 AO)
Server-Logs: max. 30 Tage

Nutzer können ihr Konto und alle damit verbundenen Daten jederzeit selbst über „Konto löschen" im Dashboard löschen.

7. Rechte der betroffenen Person

Sie haben das Recht auf:

Auskunft über gespeicherte Daten (Art. 15 DSGVO)
Berichtigung unrichtiger Daten (Art. 16 DSGVO)
Löschung Ihrer Daten (Art. 17 DSGVO) — über „Konto löschen" im Dashboard oder per E-Mail
Einschränkung der Verarbeitung (Art. 18 DSGVO)
Datenübertragbarkeit (Art. 20 DSGVO)
Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO)
Beschwerde bei der zuständigen Datenschutzbehörde (Hessischer Beauftragter für Datenschutz und Informationsfreiheit, datenschutz.hessen.de)

Zur Ausübung Ihrer Rechte wenden Sie sich an: info@andrii-it.de

8. Cookies

Wir verwenden ausschließlich technisch notwendige Cookies (Session-Cookie für die Anmeldung, Lebensdauer: Browsersitzung). Es werden keine Tracking-, Analyse- oder Werbe-Cookies eingesetzt. Kein Google Analytics, kein Facebook Pixel.

9. Sicherheit

Alle Datenübertragungen erfolgen verschlüsselt via HTTPS/TLS (TLS 1.2+). Passwörter werden ausschließlich als Bcrypt-Hash gespeichert. Der Datenbankzugriff ist auf autorisierte Anwendungskomponenten beschränkt.

10. Änderungen dieser Erklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen. Die aktuelle Version ist stets unter whatsappbothelfer.de/datenschutz abrufbar. Bei wesentlichen Änderungen werden registrierte Nutzer per E-Mail informiert.

Impressum AGB